Wie IT-(Un-)Sicherheit funktioniert …

MARCH 3RD, 2007
By

ist sehr schÃ¶n an dem Newsartikel “Angreifer kÃ¶nnen Liste besuchter Webseiten auslesen” nachzuvollziehen.

Vorab ein wenig Hintergrundwissen:
Jeder Web-Browser kennt fÃ¼r die in Web-Seiten enthaltenen Links verschiedene DarstellungszustÃ¤nde. So lÃ¤ÃŸt sich beispielsweise die Farbe des Linktextes Ã¤ndern oder eine Grafik austauschen, wenn der Mauszeiger darÃ¼ber positioniert wird. Insbesondere werden im Normalfall fÃ¼r den Benutzer bereits besuchte Hyperlinks farblich anders dargestellt, als noch nicht besuchte. Der Benutzer erkennt so einfacher, wo er schon gewesen ist, und was noch neu ist.

Genau diese Funktion (eigentlich eine Verbesserung des Benutzerkompforts) lÃ¤sst sich jedoch auch mit geeigneten Mitteln von Dritten missbrauchen: Die Formatierung aller Hyperlinks kann Ã¼ber spezielle Formatbeschreibungsdateien (Stylesheets / CSS) konfiguriert werden; unter anderem auch so, dass eine “spezielle” Grafik angezeigt wird, wenn ein bestimmter Hyperlink schon von dem Benutzer besucht worden war…

Wenn ich also wissen mÃ¶chte, ob ein Benutzer schon auf einer bestimmten Seite gewesen ist, baue ich einfach einen Link auf diese Website in mein Dokument ein und konfiguriere die Darstellung dieses Links so, dass dieser durch eine Grafik “verziert” wird, wenn der Benutzer sie schon einmal aufgerufen hat. Ã–ffnet ein Benutzer meine Website mit dem Hyperlink, von dem ich wissen mÃ¶chte, ob der Besucher diesen schon einmal aufgerufen hat, so kann ich anhand des Ladens oder Nicht-Ladens der zugehÃ¶rigen Grafik feststellen, wie dieser Link beim Besucher dargestellt wird: Als “Besucht” oder “Noch JungfrÃ¤ulich”

Eingesetzt werden kÃ¶nnte ein solcher Angriff auf die PrivatsphÃ¤re unter anderem um unter den Besucher Kunden einer bestimmten Online-Bank zu identifizieren, fÃ¼r die es gerade eine MÃ¶glichkeit gibt durch geeignete Manipulationen Kundenkonten zu “Ã¼bernehmen” (Stichworte Phishing / Cross Site Scripting etc.). Wenn ich weiss, dass der Benutzer diese Online-Banking Seite aufgesucht hat, ist die Wahrscheinlichkeit groÃŸ, dass er dort Kunde ist. Es lohnt sich also diesen Besucher als Opfer fÃ¼r einen Angriff auszuwÃ¤hlen

NatÃ¼rlich kann ich als normaler Websitebetreiber so auch einfach herausfinden, ob mein Besucher zuvor “der Konkurrenz” einen Besuch abgestattet hat – usw.

Was zeigt nun dieses Beispiel aus dem realen IT-Sicherheitsleben??

Ohne ParanoiditÃ¤t ist IT-Sicherheit kaum umzusetzen
Im hier diskutierten Beispiel wÃ¼rde es beispielsweise helfen, die “Browser-History” nach jeder Benutzung des Web-Browsers – am Besten sogar direkt nach dem Aufruf einer Website, vor dem Aufruf einer neuen Website, zu lÃ¶schen. Die Nachteile liegen auf der Hand: ich muss meinen Arbeitskompfort (die Anzeige was ich schon angesehen habe und was noch nicht) aufgeben, um meine Sicherheit geringfÃ¼gig?? zu erhÃ¶hen. Und das Ganze bei einem real betrachtet doch vermutlich sehr kleinem Verlust an PrivatsphÃ¤re – aber wie immer gilt: Wenn ich betroffen bin (irgendwer mÃ¼ssen ja die 1-2?? Prozent der Benutzer sein, die geschÃ¤digt werden) sieht die Sache anders aus…

Genereller betrachtet muss ich als Benutzer immer Kosten und Nutzen gegenÃ¼berstellen und dann fÃ¼r mich selbst bewerten, wie das Kosten-Nutzen-VerhÃ¤ltnis aussieht. Wichtig ist aber – und das ist nach wie vor das Ziel dieser Website – ein BewuÃŸtsein fÃ¼r die existierenden Sicherheitsrisiken zu entwickeln. Sich klar zu machen, dass potentiell alles – auch wenn es auf den ersten Blick mehr als exotisch wirkt – auf die eine oder andere Art gegen einen verwendet werden kann. Insbesondere, wenn man sich vor Augen fÃ¼hrt, dass das WWW und die entsprechenden Web-Browser schon seit diversen Jahren existieren und erst jetzt Ã¼ber dieses “Sicherheitsleck” berichtet wird, sollte einem klar werden, dass es sich hier nicht um einen Einzelfall handelt, sondern noch eine Vielzahl Ã¤hnlich gelagerter Probleme bestehen.

Eine Ã¤hnliche Problematik hinsichtlich der von mir besuchten Seiten, die sich m.E. viel dramatischer auf meine PrivatsphÃ¤re auswirkt, stellen die beispielsweise von Google verwalteten Anzeigen dar, die auf allen Websites eingeblendet werden …

Warum? ->Selbst ist der Mensch Mehr zu dieser Problematik ein anderes Mal.

Aus den News, IT-Sicherheit

No Comments

No comments yet.

RSS feed for comments on this post. TrackBack URI

You must be logged in to post a comment.

Search for:
Pages
Literaturtips
Tags
Adclick AngriffsmÃ¶glichkeiten Backup backupstrategie BCM Computerspionage computervirus Cyberwar datenernte Datensicherung diebstahl virtueller GÃ¼ter e-mail konto exploit gefahr gefahren gehackter PC gehackter Rechner als Web-Server GeschÃ¤ftsmodell Ghostnet Hacker Hackerangriff Klickbetrug Nutzung gehackter PC pc pc hacken RechnerÃ¼bernahme spam Spionage trojaner Umfrage Verschleierung verschlÃ¼sselung virenbefall warum hacken Werbebanner Werbung im Internet Wert wert fÃ¼r hacker wert gehackter pc wert gehackter PCs wert Ã¼bernommer PC wie hacken funktioniert zugangsdaten Ã¼bernommene Rechner Ãœberblick
Archives
- October 2009
- August 2009
- July 2009
- June 2009
- May 2009
- March 2009
- February 2009
- April 2008
- August 2007
- July 2007
- May 2007
- April 2007
- March 2007
- February 2007
Computerworld Security News
- Windows 11 Insider Previews: What’s in the latest build? 19.04.2024
  The Windows 11 2023 Update has been released, but behind the scenes, Microsoft is constantly working to improve the newest version of Windows. The company frequently rolls out public preview builds to members of its Windows Insider Program, allowing them to test out — and even help shape — upcoming features. Skip to the builds Th […]
- Chasing business and partnerships, Apple goes APAC 19.04.2024
  While politicians who should know better waste time worrying about green bubbles, Apple continues to explore opportunities in global markets as its traditional ones become increasingly stagnant. Apple is also seeking ways to become less exposed to America’s growing politically driven tension against China, a nation that has been a […]
- Microsoft reminder: Support for Office 2016 and 2019 ends next year 19.04.2024
  Microsoft is reminding customers that support for its Office 2016 and Office 2019 suites and related productivity servers will end on Oct. 14, 2025. Microsoft issued the reminder this week that applications in the two Office suites — including versions of Excel, Outlook, PowerPoint, Word, and others — will no longer receive securit […]
- Google consolidates AI teams into DeepMind to scale capacity 19.04.2024
  Aimed at accelerating progress in AI development and responsible AI deployment, Alphabet-owned Google is consolidating its teams that are responsible for building AI models across Google Research and Google DeepMind, its CEO Sundar Pichai said Thursday in a note to its employees. All AI “work will now sit in Google DeepMind,” Pichai s […]
- Zoom offers AI-based updates to its Workplace collaboration space 18.04.2024
  Online meeting platform Zoom this week announced updates to its meeting collaboration space Workplace, adding AI-powered capabilities that include a previously released “assistant” that offers post-meeting summaries and the ability to compose chats and email drafts. Available through Zoom’s desktop app, the Workplace collaboration […]
heise Security
- Erneuter Cyberangriff auf Uni in Düsseldorf und mehr 19.04.2024
  Die Heinrich-Heine-Universität in Düsseldorf wurde zum wiederholten Male Opfer eines Cyberangriffs. Weitere nennenswerte Security-Vorfälle gab es woanders. […]
- l+f: "Cisco erfindet die Security neu" 19.04.2024
  Nein, wir übertreiben nicht – die meinen das vollkommen ernst: inklusive Revolution, KI, Cloud und ganz viel Hyper ... […]
- Ionos-Phishing: Masche mit neuen EU-Richtlinien soll Opfer überzeugen 19.04.2024
  Das Phishingradar warnt vor einer Phishing-Masche, bei der Ionos-Kunden angeblich zu neuen EU-Richtlinien zustimmen müssen. […]
- DDoS-Plattform von internationalen Strafverfolgern abgeschaltet 19.04.2024
  Internationale Strafverfolger haben eine DDoS-as-a-service-Plattform abgeschaltet und die Domain beschlagnahmt. […]
- CISA und Europol teilen wichtige Details im Kampf gegen Akira-Ransomware 19.04.2024
  Die Cyberkriminellen hinter Akira erpressen weltweit Millionenbeträge. In einem Beitrag verschiedener Institutionen gibt es wichtige Fakten zur Abwehr. […]
cNet Defense in Depth
- World Snooker Championship 2024: How to Watch Live From Anywhere - CNET 20.04.2024
  Can Ronnie O'Sullivan claim a record eighth title? […]
- Best Filtered Water Bottles of 2024 - CNET 20.04.2024
  Stay safely hydrated in the wild with the best filtered water bottles, tested and reviewed by CNET. […]
- Best Cheap Mattress for 2024 - CNET 20.04.2024
  Buying a quality mattress doesn't have to break the bank. We'll show you how with our expert-tested best list of budget-friendly mattresses. […]
- Energy's New Wave: Meet 4 Women Powering America's Clean Energy Transition - CNET 20.04.2024
  They're all under 30, and they've got a clear vision and the right skills to guide the US as it embraces the clean energy revolution. […]
- US House Could Vote on TikTok Ban This Weekend: What to Know - CNET 20.04.2024
  The House of Representatives may soon vote on legislation that would effectively ban TikTok. Here's what's next. […]

WordPress Themes | WordPress